La liberigo de OpenSSH 9.0, malferma efektivigo de kliento kaj servilo por labori uzante la SSH 2.0 kaj SFTP-protokoloj, estis prezentita. En la nova versio, la scp-ilaĵo estis ŝanĝita defaŭlte por uzi SFTP anstataŭ la malmoderna SCP/RCP-protokolo.
SFTP uzas pli antaŭvideblajn nomtraktadmetodojn kaj ne uzas ŝelprilaboradon de glob-padronoj en dosiernomoj sur la flanko de la alia gastiganto, kiu kreas sekurecproblemojn. Precipe, kiam oni uzas SCP kaj RCP, la servilo decidas kiujn dosierojn kaj dosierujojn sendi al la kliento, kaj la kliento nur kontrolas la ĝustecon de la revenitaj objektonomoj, kiuj, sen taŭga kontrolo ĉe la kliento, permesas la servilo por transdoni aliajn dosiernomojn kiuj diferencas de tiuj petitaj.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[retpoŝte protektita]" por vastigi la ~/ kaj ~uzanto/ vojojn.
Dum uzado de SFTP, uzantoj ankaŭ povas renkonti nekongruojn kaŭzitajn de la bezono duoble eskapi specialajn padvastigajn karakterojn en SCP kaj RCP-petoj malhelpi ilian interpreton de la malproksima flanko. En SFTP, tia eskapo ne estas postulata kaj kromaj citaĵoj povas konduki al eraro pri transdono de datumoj. Samtempe, la programistoj de OpenSSH rifuzis aldoni etendon por reprodukti la konduton de scp en ĉi tiu kazo, do duobla eskapado estas konsiderata difekto, kiu ne havas sencon ripeti.
Aliaj ŝanĝoj en la nova eldono:
- Ssh kaj sshd havas hibridan ŝlosilŝanĝan algoritmon ebligita defaŭlte "[retpoŝte protektita]"(ECDH/x25519 + NTRU Prime), imuna al elektado de kvantumaj komputiloj kaj kombinita kun ECDH/x25519 por bloki eblajn problemojn en NTRU Prime, kiuj povas aperi en la estonteco. En la listo de KexAlgorithms, kiu determinas la ordon en kiu ŝlosilaj interŝanĝo-metodoj estas elektitaj, la menciita algoritmo nun estas metita unue kaj havas pli altan prioritaton ol la ECDH kaj DH-algoritmoj.
Kvantumkomputiloj ankoraŭ ne atingis la nivelon de krakado de tradiciaj ŝlosiloj, sed uzado de hibrida sekureco protektos uzantojn kontraŭ atakoj, kiuj implikas stoki kaptitajn SSH-sesiojn kun la espero, ke ili povas esti deĉifritaj en la estonteco kiam la necesaj kvantumkomputiloj estos disponeblaj.
- La etendo "kopi-datumoj" estis aldonita al sftp-servilo, kiu ebligas al vi kopii datumojn ĉe la servilo, sen transiri ĝin al la kliento, se la fonto kaj celdosieroj estas sur la sama servilo.
- La komando "cp" estis aldonita al la ilo sftp por iniciati la klienton kopii dosierojn ĉe la servilo.
fonto: opennet.ru